《2019年主机的未知安全威胁检测与防御.pdf》由会员分享,可在线阅读,更多相关《2019年主机的未知安全威胁检测与防御.pdf(20页珍藏版)》请在三个皮匠报告上搜索。
1、主机的未知安全威胁检测与防御目录主机安全现状主机端的未知安全检测与防御技术内网主机的零信任安全模型目录严峻的网络安全形势勒索病毒一句话木马0DAY攻击针对主机的黑客攻击日益增多传统基于安全规则的防护手段效果有限依赖于安全规则,可以抵御已知攻击,但对未知威胁防护效果滞后,无法应对0DAY和新型恶意代码病毒库、规则库的堆集只会让系统变得愈发臃肿牺牲业务保安全?案例:WEBLOGIC 反序列化漏洞(CNVD-C-2019-48814)漏洞披露时间2019-04-17漏洞详情WebLogic Server提供异步通讯服务的wls9_async_response WAR包,在反序列化处理输入信息时存在缺
2、陷,攻击者可以通过恶意 HTTP 请求,获得目标服务器权限,在未授权的情况下远程执行命令,漏洞评级为高危。漏洞披露方处理方案1、删除该WAR包并重启webLogic;2、通过访问策略控制禁止/_async/*路径的URL访问。处理方式分析牺牲业务保安全,通过删除WAR包的方式不但会导致部分服务失效而且治标不治本。有补丁安全案例:STRUTS2 漏洞CVE编号CVE-2017-56383月7日漏洞爆出,厂商当那天给出修复方案,但截止3月9日,仍有部分用户没有检测或者修复漏洞。根据TCELL发布2018年第二季度生产环境Web应用程序安全报告,漏洞修复平均时长为38天!给攻击者留下足够的attac
3、k free时间窗如何在主机端检测与防御未知安全威胁漏洞永远补不完,但黑客入侵服务器后的行为却有迹可循黑客在入侵产生的多种异常行为:提权、端口扫描、反连shell、进程自我复制、监听原始套接字、执行一句话木马、应用执行cmd、创建可执行文件、创建克隆账户在了解黑客入侵行为轨迹后,在系统和应用两个层面监控和拦截,用安全机制补充安全规则,以有限的行为防御无限的漏洞。内核探针RASP探针应用探针WAF探针云中心沙盒内核探针监控系统层异常行为内核加固通过构建内核探针对端口扫描、反连shell、进程自我复制、监听原始套接字等黑客在入侵产生的多种异常行为进行监控及防护,同时会对系统中的二进制文件创建、进程
4、创建、进程外连、linux shell操作命令等行为进行监控和防护,实现主机内核加固。应用权限控制从内核层实现应用权限控制,限制应用过高权限,防止提权、创建可执行文件等操作。自适应WAF探针拦截已知WEB攻击WAF探针工作于IIS、Apache、Nginx等web中间件内部,基于防护规则(数字签名)对WEB流量进行监控及过滤,具备所有硬件WAF的防护能力及功能。防护能力常见网络攻击(SQL注入、XSS、溢出攻击等)CC攻击(独创session验证模式,高效验证正常访问/机器攻击)大数据安全分析每天1500W+攻击记录4000W+IP 信誉库海量 webshell样本,动态结合RASP、沙箱技术
5、,识别未知攻击支持web中间件IIS、Apache、Nginx、kangle、Tomcat、Weblogic、WebSphere、TongWeb、Jboss、Glassfish、Jetty等RASP探针检测和拦截未知攻击RASP(runtime application self-protection)RASP探针工作于ASP、PHP、Java等脚本语言解释器内部,区别于传统WAF基于流量规则的防护方式,RASP探针是基于脚本行为(无规则)的方式进行漏洞攻击识别及防护,RASP探针会对WEB流量以及 文件操作及数据库操作等行为进行监控,在脚本解析、命令执行等关键点上进行监控和拦截,能有效防御SQ
6、L注入、任意命令执行、文件上传、任意文件读写、Weblogic反序列化、Struts2等基于传统签名方式无法有效防护的未知安全漏洞,是对传统WAF的有效补充。RASP捕获0DAY云中心沙盒检测未知恶意代码沙箱(sandbox)基于脚本虚拟机(沙盒)的无签名Webshell检测技术,有效检测各种加密、变形的Webshell基于异常行为的检测技术,可有效检测出未知威胁。通过在内核及应用层探针中设置监控点,持续对系统的行为进行学习,可有效检测出系统中存在的异常行为,并在综合判定后产生告警。脚本虚拟机的优势不依赖文本特征检测可检测自加密的脚本可检测未活动的WebShell支持php java 编写的w
7、ebshell主机安全防御层级图示单台主机安全业务系统安全东西向移动无论核心业务的安全防御能力有多强,在默认“内网相互信任”的前提下,只要业务系统中存在防护薄弱的主机,一样可以被攻击者利用东西向移动攻破。主机的零信任安全实践内网主机东西向流量监控与防护模型构建业务环境内主机的零信任安全模型,实现流量可视、可控。微隔离流可视化流可视化流可视化(Flow visibility)通过监控业务系统数据流并将其可视化,帮助安全运维人员实时准确把握业务系统内部网络信息流动情况。流可视化的功能可以识别到:业务资产可视化;业务资产间访问关系可视化;流量信息可视化;访问端口可视化以及访问数量可视化等。右图中图标
8、代表安装agent的主机资产,主机间的线代表访问关系,线的颜色代表访问绿色-合规流量;红色-违规流量(被拦截);灰色-未设置规则流量;黄色-监控模式流量。微隔离微隔离(Micro-segmentation)是主机端分布式防火墙技术,可以细粒度控制主机、主机应用间的访问关系:1.东西向流量防护可以基于角色、标签定义主机、主机应用间的细粒度访问控制策略。比如在一个安全域内允许A类主机(如web服务器)去访问B类主机(如数据库),其他类型的主机去访问B类主机将被禁止;或者A类主机的web应用可以去访问B类主机的数据库应用,A类主机的其他应用访问B类主机的数据库应用将被禁止。2.南北向流量防护解决主机
9、非法外连问题,可以定义主机允许访问的特定IP、IP段、域名,不在规则外的访问将被禁止。没有100%的安全内核加固、RASP、沙盒等技术能大幅提升主机端的未知安全威胁检测与防护能力;流可视化与微隔离可以降低内网渗透的风险,但并不能承诺“万无一失”,正因如此,我们需要及时、进准的攻击溯源系统,帮助用户快速定位并修复安全风险点。主机的一体化防护能力资产管理动态防御攻击溯源安全运维漏洞扫描基线检查批量运维流量控制流可视化微隔离安全日志入侵检测(HIPS)漏洞利用防护Webshell/病毒查杀RASP应用运行时自我保护应用权限控制文件防篡改/完整性保护事前预防事中控制攻击路径回溯事后追溯主机资产网站资产
10、性能监控应用资产内核模块数据库资产补丁管理病毒、后门、webshell扫描防爬虫/防恶意扫描命令审计操作系统内核加固环境变量启动服务安装包云锁主机安全云锁是中国用户总量领先的主机安全产品,在国际上率先达到Gartner定义的cwpp(云工作负载保护平台)标准、EDR(终端检测与响应)+EPP(Endpoint Protection Platform)标准,兼容多种虚拟化架构和操作系统,可以高效支撑现代混合数据中心架构下的主机安全需求。云锁基于服务器端轻量级agent,安全加固服务器操作系统及应用,云锁waf探针、rasp探针、内核加固探针能有效检测与抵御已知、未知恶意代码和黑客攻击;同时云锁融合资产管理、微隔离、攻击溯源、自动化运维、基线检查等强大功能,帮助用户高效安全运维服务器。THANKS